PR
つつみくん
パソコンを始めて二十数年、マイクロソフトにどっぷりと浸かっていた私が、数年前ふとしたことからLinuxに目覚めました。 このブログの更新はLinuxから行ってます。
サイド自由欄
リンク、トラックバックなども大歓迎です。(^^)♪
お買い物は↓コチラから
カレンダー
フリーページ
キーワードサーチ
▼キーワード検索
April 21, 2007
テーマ: Linuxで頑張ってます(515)
カテゴリ: Linux記
VNCのセキュリティがちょっと心配になってきましたので、セキュリティをアップさせる方法について考えてみました。
まず、VNCにログインするときですが、パスワードを入力して、そのパスワードがあっていれば、すぐに接続できます。
ということは、パスワードさえ分かっていれば、だれでも接続できてしまうということですね。
これは、以前にセキュリティが心配で使わなくなったtelnetより、さらに心配です。(^^;)
(telnetはユーザー名とパスワードのセットがあっていないと接続できません。)
telnetのときは、sshというセキュリティの高いものに取りかえることが出来ましたが、今回はそうはいきません。
VNCの代わりになって、セキュリティが高いアプリケーションがないのです。(><)
しかも、VNCがセキュリティに対応してくれるという予定も、どうやらなさそうです。
そこで、またインターネットで調べてみました・・・すると「トンネリングを使えばいい」という記述がありました。
いったい、トンネリングってどうすれば使えるの?・・・といろいろ調べたところ、グーグルに「sshトンネリング」という言葉が!
そうです。トンネリングは、VNCの機能ではなく、sshについている機能だったのです。(^^;)
トンネリングは、セキュリティに対応していないアプリケーションの通信を、sshのを通して安全に使うものだったのです。
でも、VNCをトンネリングするのですから、sshにVNCを登録しなくちゃいけないのかと思ったら、なんと、サーバーのsshの設定は、そのままでOKなのでした。
では、どうやってVNCをsshでトンネリングするかというと、それは、TCP/IPのポート番号というしくみを利用しているのでした。
TCP/IPのポート番号などというと、ものすごくむずかしい話にきこえますが、じつは、じぶんでも知らないうちに、たくさん使っていました。(^^)
まず、インターネットでホームページを開くときに、ふつう「http:」という文字がついていると思いますが、これは「ポート番号が80番です。」という意味です。
(TCP/IPの80番号は、ふつうウェブサーバーに使われます。)
たまに、「https:」や「ftp:」になっている時がありますが、これは、それぞれ、443番と21番ポートをあらわしています。
httpsは暗号化されたウェブ通信で、よく、インターネットショッピングなどで、クレジットカード番号などを入力するページはこれが使われています。
(これが使われていないと、カード情報が盗まれて、コワイことになることがあります。)
(ホームページをアップロードする時に使った方もいらっしゃるかもしれませんね(^^))
なぜ、こんなにポート番号がつけられているかというと、それはひとつのサーバーでいろいろなサービスを使うためです。
楽天さんくらいになれば、1つのサービスに1つのサーバーということも出来ると思いますが、自宅にサーバーを作るとなると、いろいろなサービスを1台のサーバーで提供する必要があります。
そんなとき、アドレスは1つでも、ポート番号が0~65535まで使えるので、たくさんのサービスを使うことが出来ます。
さて、VNCのポート番号は5901なので、これをトンネリングしてみました。(^^)
たとえば、
ssh -L 5901:localhost:5901 linuxserver
とすれば、linuxserverの5901番をクライアントマシンの5901番に割り当ててくれます。
すると、まるで、クライアントマシンでvncserverが起動しているかのような状態になるので、vncviewerからlocalhostを指定すれば、sshが自動的にトンネリングして、サーバーにつないでくれます。
そして、みごとサーバーと接続することが出来ました。(^^)v
そうすると、もう5901番ポートで、直接サーバーと通信する必要はなくなったので、これを使えないようにしてみます。
VNC上でブラウザを起動して、ルーターの設定画面を開きます。
そして、5901番ポートをルーターで遮断するようにします。
これで、外出先からも安全にルーターの設定を変更することも出来るようになりました。(^^)v
(つづく)
その1へ
まず、VNCにログインするときですが、パスワードを入力して、そのパスワードがあっていれば、すぐに接続できます。
ということは、パスワードさえ分かっていれば、だれでも接続できてしまうということですね。
これは、以前にセキュリティが心配で使わなくなったtelnetより、さらに心配です。(^^;)
(telnetはユーザー名とパスワードのセットがあっていないと接続できません。)
telnetのときは、sshというセキュリティの高いものに取りかえることが出来ましたが、今回はそうはいきません。
VNCの代わりになって、セキュリティが高いアプリケーションがないのです。(><)
しかも、VNCがセキュリティに対応してくれるという予定も、どうやらなさそうです。
そこで、またインターネットで調べてみました・・・すると「トンネリングを使えばいい」という記述がありました。
いったい、トンネリングってどうすれば使えるの?・・・といろいろ調べたところ、グーグルに「sshトンネリング」という言葉が!
そうです。トンネリングは、VNCの機能ではなく、sshについている機能だったのです。(^^;)
トンネリングは、セキュリティに対応していないアプリケーションの通信を、sshのを通して安全に使うものだったのです。
でも、VNCをトンネリングするのですから、sshにVNCを登録しなくちゃいけないのかと思ったら、なんと、サーバーのsshの設定は、そのままでOKなのでした。
では、どうやってVNCをsshでトンネリングするかというと、それは、TCP/IPのポート番号というしくみを利用しているのでした。
TCP/IPのポート番号などというと、ものすごくむずかしい話にきこえますが、じつは、じぶんでも知らないうちに、たくさん使っていました。(^^)
まず、インターネットでホームページを開くときに、ふつう「http:」という文字がついていると思いますが、これは「ポート番号が80番です。」という意味です。
(TCP/IPの80番号は、ふつうウェブサーバーに使われます。)
たまに、「https:」や「ftp:」になっている時がありますが、これは、それぞれ、443番と21番ポートをあらわしています。
httpsは暗号化されたウェブ通信で、よく、インターネットショッピングなどで、クレジットカード番号などを入力するページはこれが使われています。
(これが使われていないと、カード情報が盗まれて、コワイことになることがあります。)
(ホームページをアップロードする時に使った方もいらっしゃるかもしれませんね(^^))
なぜ、こんなにポート番号がつけられているかというと、それはひとつのサーバーでいろいろなサービスを使うためです。
楽天さんくらいになれば、1つのサービスに1つのサーバーということも出来ると思いますが、自宅にサーバーを作るとなると、いろいろなサービスを1台のサーバーで提供する必要があります。
そんなとき、アドレスは1つでも、ポート番号が0~65535まで使えるので、たくさんのサービスを使うことが出来ます。
さて、VNCのポート番号は5901なので、これをトンネリングしてみました。(^^)
たとえば、
ssh -L 5901:localhost:5901 linuxserver
とすれば、linuxserverの5901番をクライアントマシンの5901番に割り当ててくれます。
すると、まるで、クライアントマシンでvncserverが起動しているかのような状態になるので、vncviewerからlocalhostを指定すれば、sshが自動的にトンネリングして、サーバーにつないでくれます。
そして、みごとサーバーと接続することが出来ました。(^^)v
そうすると、もう5901番ポートで、直接サーバーと通信する必要はなくなったので、これを使えないようにしてみます。
VNC上でブラウザを起動して、ルーターの設定画面を開きます。
そして、5901番ポートをルーターで遮断するようにします。
これで、外出先からも安全にルーターの設定を変更することも出来るようになりました。(^^)v
(つづく)
その1へ
お気に入りの記事を「いいね!」で応援しよう
【毎日開催】
15記事にいいね!で1ポイント
© Rakuten Group, Inc.
